しばらくすると、Twitter カード表示となります
オープニング
今週は Security Week です!Cloudflare の新機能が以下の観点で続々発表となります。
— kyhayama (@kyhayama) March 4, 2024
・AIがもたらす機会とリスクへの対応
・アプリケーションやクラウドが変化しても、可視性とコントロールを維持する
・統合によるコスト削減
そして、よりよいインターネットを目指して。https://t.co/Lo58fSrQsI
1日目
Cloudflare Page Shield 機械学習によって検出された悪意のあるサードパーティスクリプト詳細。入力欄のインプットをキャプチャし、Local Data Storage を使って保管しつつ、外部サーバーに送信を試みる巧妙な手口。さらに改善されたMLモデルの次期バージョンをリリース予定。https://t.co/DVl1lcKaY8
— kyhayama (@kyhayama) March 5, 2024
Security Analytics に AI アシスタントが登場!
— kyhayama (@kyhayama) March 5, 2024
GraphQLで使うフィルターをAIに教え、推論に Workers AI を利用。
手間なく、複数のデータ系列を1つのグラフにして比較を支援。
ベータを Biz/Ent に3月展開予定。
将来は自動的にWAFルールを生成し、攻撃を軽減できるようにhttps://t.co/VbWtrf2bPD pic.twitter.com/hdc7nC7FwM
Cloudflare Zero Trust のユーザリスク・スコアリングは、リスクのあるユーザの活動を検出し「低」「中」「高」のスコアを割り当てます。
— kyhayama (@kyhayama) March 5, 2024
異常な "不可能な移動 "の監視やカスタムDLPトリガー等のルールを指定し、これらを使用して動的なユーザリスクを特定することができますhttps://t.co/FQWgUs0cur pic.twitter.com/FeSbzYT2tZ
Cloudflare 自身が “secure by design” を実現してきた歴史
— kyhayama (@kyhayama) March 5, 2024
・開発ライフサイクルでは既知の脆弱性が悪用される前に積極的に対処
・初期の頃から、より優れたセキュリティ機能をデフォルトで提供
・ブログ、ステータス情報発信による透明性
・マシューCEOも重要性を理解し主導https://t.co/CDYZtZeh6Z
適切な緩和戦略とツールがあれば、LLMを利用した攻撃は確実に阻止できる。Cloudflareは何年も前からLLMを強化した攻撃の防御に何十億通もの分析から開発。SPARSE は、自然言語モデリング、センチメント分析、構造分析、トラストグラフを含む複数の機械学習モデルの組み合わせhttps://t.co/o6HkHKFCQf
— kyhayama (@kyhayama) March 5, 2024
ディフェンシブAIは、Cloudflare がセキュリティに適用する考え方で、攻撃阻止において重要な役割を担う。
— kyhayama (@kyhayama) March 5, 2024
API Anomaly Detection (予定)や WAF Attack Scoreで、未知の攻撃への保護を拡張。
メール送信者ドメイン評判・なりすまし検知に加え、ZTユーザリスクスコアにも活用https://t.co/C5OKRbQEiy
LLM に特有な非決定的な挙動、データ分離の難しさに対して Firewall for AI を提供!OWASP Top 10 for LLMs 対策に Rate Limit / Prompt validation / Sensitive Data Detection / Response validation を提供。Prompt validation は数ヶ月中に Workers AI でBetaリリース予定https://t.co/7uaPzIKpA8 pic.twitter.com/mRR8c3dzm3
— kyhayama (@kyhayama) March 5, 2024
2日目
Cloudflare API Gateway の JWT Validation 機能が GA!
— kyhayama (@kyhayama) March 6, 2024
顧客フィードバックから、Bearer token 対応、異なる JWKS 設定サポート、Cookie サポート、除外設定を追加しました。
これまで Workers で JWT Validation していた人は API Gateway を使ってみてはどうでしょう?https://t.co/CSKKrD32om
Cloudflare が "privacy by design"なゼロトラストを実践する事例。SWG ログに含まれる個人を特定できる情報(PII)を管理する機能で必要最低限の収集にとどめ、双方向で透明性のあるコミュニケーションを心がける。社員自身がセキュリティの一部であると認識できるよう尊重するhttps://t.co/txS8KrKvBo
— kyhayama (@kyhayama) March 6, 2024
既存 Netskope 顧客がより容易に移行できるための Deskope プログラムの発表。API 経由の既存設定抽出と変換に対応。また、既存 Zscaler 顧客向け Descaler ツールキットをパートナーに解放する。なぜ Deskope するかって?Cloudflare の方が速く簡単に運用・構成できるから。https://t.co/e5AR2IU9gi pic.twitter.com/fO0LriKyL0
— kyhayama (@kyhayama) March 6, 2024
Cloudflare Zero Trust の DLP で OCR とソースコード検知に対応!OCR により画像内の機密情報を識別できる。ソースコード検知により、例えば開発者が誤ってソースコードをパブリックGitHubリポジトリや、ChatGPTのようなAIツールにアップロードしてしまうことを防げる。https://t.co/QTk7Nkibnm pic.twitter.com/3tXkaixgTV
— kyhayama (@kyhayama) March 6, 2024
Security Center でデジタル資産全体にわたるCloudflare 展開状況についての詳細な洞察を提供。WAF、Access等が完全に設定または最適化されていない場合などをハイライトすることで、迅速な意思決定・潜在的な脅威への防御が可能。インサイト出力も可能で、定期レポートも計画https://t.co/OjvanfWsP3 pic.twitter.com/GtSXz5iKkP
— kyhayama (@kyhayama) March 6, 2024
CloudflareのTLS 1.3接続の約2%がポスト量子暗号で保護。年末までには2桁台の普及を見込む。
— kyhayama (@kyhayama) March 11, 2024
鍵合意アルゴリズム標準は2024年半ば頃に発表されると予想。
署名・証明書に関してはより複雑だが、2026年頃にはサポートを追加する予定。
TLS のみならず DNSSEC 等への波及も多大https://t.co/HtqiC5NI9I pic.twitter.com/TnbSDNqe3N
3日目
Ivanti Connect Secure / Policy Secure 製品の脆弱性を受けて、VPNアプライアンス型の「城と堀」モデルの本質的リスクを指摘。今こそ Cloudflare Zero Trust でVPN装置のリプレースを検討すべきです。Cloudflare なら最小特権の原則を遵守でき、運用に負担をかけることもないhttps://t.co/yNfIT8pJwm pic.twitter.com/8761URkVQP
— kyhayama (@kyhayama) March 7, 2024
Nefeli Networks の買収による製品、Magic Cloud Networking を発表。企業はCloudflareのダッシュボードとAPIを使ってパブリッククラウドネットワークを管理し、Cloudflare Oneと接続することができる。クラウドとCloudflareをシームレスに統合し、柔軟性とコスト削減を実現。https://t.co/QCziHHphPk pic.twitter.com/RqMnwpT771
— kyhayama (@kyhayama) March 7, 2024
Enterprise 顧客に追加コストなしで提供する Cloudflare Network Interconnect (CNI) を Express CNI としてプロセス簡素化して刷新!
— kyhayama (@kyhayama) March 7, 2024
3クリックで3分以内のプロビジョニングが可能に。
最大 100 Gbps 単位での直接接続が可能。
GRE / MSS 調整も不要で MTU 1500 を通せる。https://t.co/QHGLgkjyaf pic.twitter.com/G10MS949n7
VeloCloud ユーザが抱える不安、買収による製品方針転換が繰り返された歴史。Cloudflare Magic WAN に移行する支援を約束します。SD-WAN + SSE ではSASE アーキテクチャを実現し得ません。複数のネットワーク挿入モデルを持つライトエッジ、ヘビークラウドなMagic WANを使おうhttps://t.co/VTyP9FUX4D
— kyhayama (@kyhayama) March 7, 2024
Cloudflareで使用しているLinuxカーネルのセキュリティ設定と、潜在的なシステム侵害をブロックまたは最小化する方法。
— kyhayama (@kyhayama) March 11, 2024
・カーネルモジュールへの署名と秘密鍵の破棄
・KEXEC の無効化とデバッグ活用
・カーネル・ポインタへのアクセス制限
・Lockdown LSM の設定
などhttps://t.co/txTAIxmLQz pic.twitter.com/E8H9Ea3GGT
Cloudflare Zero Trust WARP の実装を Wireguard から MASQUE に切り替える予定。HTTP/3 と QUIC を使って、より優れたセッション管理、高度な輻輳制御、FIPS準拠の暗号スイートを実現。ポート443を使用するため、どこにいても確実に接続できる。2024年Q2にベータ開始予定https://t.co/hj8DimnKNH
— kyhayama (@kyhayama) March 11, 2024
4日目
Page Shield Cookie Monitorは、スキャナ不要でファーストパーティCookieの収集・表示が可能。
— kyhayama (@kyhayama) March 8, 2024
Cloudflare はレスポンス(Set-Cookie)とリクエスト (Cookie)のヘッダを見るだけで一元的に可視化。
新しいクッキー検出時に、アラート通知する等コンプライアンスにも活用できる。https://t.co/V7DfpPJn8M pic.twitter.com/jOruaId8J2
Magic Network Monitoringが無料で、全エンタープライズ顧客で利用可能に。今後1ヶ月かけてロールアウト。フローデータ(NetFlowまたはsFlow)をルーターからCloudflareに送信できます。
— kyhayama (@kyhayama) March 8, 2024
Cloudflare 自身でも日々の通信監視に活用中。
将来、VPCフローログサポートの構想も。https://t.co/YpodubgVPJ pic.twitter.com/pHdD7Y7cj6
Advanced DNS Protection (Beta) が Magic Transit顧客に追加料金なしで利用可能に。多数のオープンリゾルバを経由したランダムサブドメイン攻撃に対しても有効。
— kyhayama (@kyhayama) March 8, 2024
各顧客ごとの過去DNSクエリに基づきプロファイルを定期的に計算。その評価に基づき、信頼性高く保護できる。https://t.co/hnlqk04KRe pic.twitter.com/o9nSu3Jl3V
WAF のコンテンツスキャンが GA!Enterprise のアドオンとして提供。スキャンされるファイルの最大サイズを1MBから15MBに拡大。検知結果のマリシャス判定、ファイルサイズ、ファイル・タイプ等のフィールド値を使ってカスタムWAFルールを作成できる。ログや分析画面とも連携https://t.co/Xi68rYna5w pic.twitter.com/FzLBx0pyt8
— kyhayama (@kyhayama) March 8, 2024
Cloudflareが選挙サイト等に無償でセキュリティ機能提供してきた7年間で得られた知見と、2024 年に世界で開催される選挙に向けた支援。3月の Super Tuesday では無事に大規模なサイバー攻撃がなく、1890万件を超えるボットリクエストを緩和しました。"予想し得ない未来"に対応https://t.co/l3d60onWIg pic.twitter.com/8azhbSruWP
— kyhayama (@kyhayama) March 8, 2024
Cloudflare Pages で使える Turnstile Plugin が出ました!
— kyhayama (@kyhayama) March 8, 2024
npm install @cloudflare/pages-plugin-turnstile して xxx[.]pages[.]dev を Turnstile で設定するだけでプレビューサブドメインもカバーされる。
Pages Functions で /siteverify APIトークン検証も実施できるhttps://t.co/vtOfUsTeoX
5日目
Cloudforce One では、アナリストと直接連携して、お客様を標的とする特定の脅威を理解し、阻止できます。2 つの新しいツール、情報要求(RFI)と優先情報要件(PIR)を使って最も重要な情報の優先順位付けと整理を支援します。Workers を自社活用した事例でもある。https://t.co/g2Pd8jAx3g pic.twitter.com/42ESDChENs
— kyhayama (@kyhayama) March 11, 2024
Cloudflare Workers、Durable Objects、Browser Rendering API を使って構築された URL Scaneer がSecurity Centerと統合され、アカウント API を公開。
— kyhayama (@kyhayama) March 11, 2024
カスタムHTTPヘッダ設定や「unlisted」でスキャン可能。
短縮URLの精査など潜在的なリスクの先取り評価にも使えます。https://t.co/m5j8NrH4Dm pic.twitter.com/MaFAwEXoAe
2023年11月18日から2024年2月15日までの全期間において、Cloudflareは平均TCP接続時間において73%のネットワークで1位。
— kyhayama (@kyhayama) March 11, 2024
理由の1つは、HTTP/3の採用と利用を先導してきたからで、P95では、HTTP/3が有効な場合の接続時間において、Cloudflareは116ミリ秒高速です。有効化推奨https://t.co/XvBdsQYzD6 pic.twitter.com/zmZeiw4kq6
Cloudflare Gatewayがネットワークプロトコルの検出、ログ、フィルタリングをサポート。よく知られたポートに依存することなく、プロトコル選択だけで、正確なポリシーを設定可能。Enterprise顧客は今日から利用可能。近いうちに無料でも利用でき、プロトコルリストも拡大予定https://t.co/0zBVD1bTZQ
— kyhayama (@kyhayama) March 11, 2024
Log Explorer (Beta) 発表!外部ストレージや連携ツールは不要で、R2 に保管したログ (HTTP Request, Firewall Event) をダッシュボードから簡単に調査可能。Delta Lake を活用し、SQL クエリでも検索可能。今後は他データセット追加、カスタム保存期間、カスタムアラートも。https://t.co/lOjFU8f8M2 pic.twitter.com/eDQCAyGGR2
— kyhayama (@kyhayama) March 11, 2024
Cloudflare Radar で Email Security を提供開始。Area 1 買収以後、毎日数千万件のメール処理の中から様々な指標から見たメールセキュリティの状況や、脅威のリアルタイムの傾向を共有。悪質メール割合、脅威分類、危険ドメイン、SPF/DKIM/DMARC/プロトコル採用状況など。https://t.co/CYLMA3MoHj pic.twitter.com/mLkfrOPV42
— kyhayama (@kyhayama) March 10, 2024
Cloudflare の通信暗号化に使う真のランダム値のソースとしてサンフランシスコのラバランプに加えて、新たなカオスの多様性を各オフィスから追加。ロンドンの振り子、オースティンの虹色のモビールを設置。ランダム値は Worker Web Crypto API の getRandomValues 等で使えるhttps://t.co/HB3bayrn4g pic.twitter.com/0uCIJfPt5o
— kyhayama (@kyhayama) March 11, 2024
ラップアップ
先週、弊社は、世界中のCISOにとって最重要な課題に沿った新製品や新機能を数多く発表しました。
— kyhayama (@kyhayama) March 13, 2024
Cloudflare新製品にご期待ください。
次回は4月初旬、開発者コミュニティに焦点を当てたInnovation Weekにご期待ください。https://t.co/SQCjjsRPdo